Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

常時SSLの時代がやってくる

日経 xTECHの4月4日記事に、政府のサイバーセキュリティ戦略本部が、中央省庁などの情報セキュリティ対策規定である「統一基準」を見直しする方向である事が書かれていました。

tech.nikkeibp.co.jp

◆キタきつねの所感

記事を見てNISCの掲載資料を見てみたところ・・・

 

■公式資料

第17回会合資料 政府機関等の情報セキュリティ対策のための統一基準群の見直し(骨子) 

(サイバーセキュリティ戦略本部)

f:id:foxcafelate:20180421164928j:plain

 

2の対策がそれにあたるようなのですが、

 このうち「2」では、中央省庁内部だけではなく、利用者の立場で安全性を向上させるための対策を掲げる。具体的には「全Webサイト及び電子メール通信の暗号化対応の義務化」を明記する。

 日経コンピュータ日本経済新聞社が2017年秋に共同実施した調査によれば、中央省庁のWebサイトのうち8割弱が、暗号化によって閲覧中の不正介入を防ぐ「常時SSL化」を施していない。統一基準の見直しで暗号化対応を必須とし、Webサイト閲覧の安全性を高める。

(日経 xTECH記事より引用)

この中にある、常時SSL化を目指す部分がどこに書かれているのか分からなかったので、資料をもう少し調べてみたのですが・・・

 

f:id:foxcafelate:20180421165211j:plain

情報及びその発信者に対する信頼の確保」や、「通信される情報の盗聴や改ざんを防止するため、インターネット上での暗号化通信の割合が増加しており・・・」の部分が、どうやらそれに当たりそうです。

 

今回の統一基準改訂において、常時SSLに向かう部分が具体的に書かれているのかについては把握しきれませんでしたが(日経xTechさんは取材も含めて記事を書かれているのだろうと思います)、民間企業でも増えてきている「常時SSL」については、既にGoogle ChromeHTTPSでないWebページは「保護されてません」と出てきますし、Firefoxでも「この接続は安全ではありません」とアイコン(鍵に斜線マーク)で詳細が表記されるようになっています。

一部ブラウザでは将来はHTTPページの表示がされなくなるとも言われているようです。

 

しかし企業が早期に「常時SSL化」を目指さなければならなくなる理由は、情報漏えい等のセキュリティ対策面だけではなく、SEO対策である気がします。GoogleはページランキングのアルゴリズムHTTPSサイトかどうかを考慮すると既に2014年に明言しており、特にSEOを重視する米国企業では切替が加速し始めています。

webmaster-ja.googleblog.com

 

米国政府機関でも「.gov」全サイトを常時SSL/TLS化することを義務付けており、去年には常時SSL化が完了しています。この動きを受けて、今回の「統一基準」につながっているものと思いますが、SEO対策を含めて、今後「常時SSLTLS)」のトレンドが日本の企業でも拡大していくであろう事は間違いなさそうです。

 

※セキュリティ対策という点では、不正侵入や個人情報が漏えいするような脆弱性は常時SSL/TLSにしたからと言っても必ずしも防げないケースもあります。ですが暗号化された通信の方が全体的なセキュリティリスクは軽減されるので、他のセキュリティ対策と併せた多層防御のひとつとして考えて実装するのが良い気がします。

 

 

P2Pネットワークのイラスト

 

更新履歴

  • 2018年4月21日PM(予約投稿)